Noticias y Alertas
Header

Varias veces comenté que no actualizar Java es dejar el sistema expuesto a las infecciones ya que es uno de los medios más utilizados para infectar en internet, de hecho es el medio más utilizado para infectar.

Cuando un applet de Java se carga puede ejecutar códigos maliciosos y si el atacante está aprovechando algún tipo de vulnerabilidad, la infección puede ocurrir de forma automática sin la interacción del usuario, es algo bastante aterrador que puede ocurrir en cualquier sistema operativo soportado por Java.

Muchos ataques se realizan de forma masiva infectando cientos de sitios y redireccionando a las víctimas hacia páginas que contengan el código malicioso, puedes ver un ejemplo real en este post que publiqué hace tiempo en el cual la búsqueda de una imagen terminaba con la descarga oculta de un troyano.

Pero otros ataques pueden ser más personalizados, imagina que un ciberdelincuente quiere acceder a la computadora del jefe de una empresa, suplanta la identidad de un empleado y le envía un correo con un link para que acceda a una página especialmente diseñada… con una ingeniería social sencilla muchos jefes seguro caerían… sobre todo si utilizan Mac

Los usuarios de Mac tienden a ser más confiados porque siempre se les dijo que “Mac era seguro” pero esto no es así y un ejemplo de ello lo puedes ver en este artículo de Seguridad Apple.

Se han reportado múltiples vulnerabilidades en Apple IOS que permitirían revelar información sensible, realizar ataques de cross-site scripting, denegación de servicio o comprometer un sistema vulnerable.

Impacto
El impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO.
(más…)

Sistemas Afectados
• iOS 3.0 hasta la 5.0 para iPhone 3GS, iPhone 4 (GSM) y iPhone 4S.
• iOS 3.1 hasta la 5.0 para iPod touch (tercera generación) y posteriores.
• iOS 3.2 hasta la 5.0 para iPad.
• iOS 4.3 hasta la 5.0 para iPad 2
Descripción
La actualización publicada por Apple soluciona 6 vulnerabilidades en iPhone, iPod touch e iPad.
Solución
iTunes buscará y descargará automáticamente la actualización del servidor de Apple. Cuando el dispositivo esté conectado, iTunes mostrará al usuario la opción de instalar la actualización.
El proceso de actualización automática puede tardar hasta una semana, según el día en el que iTunes compruebe si hay actualizaciones. Puede obtenerse el manual de actualización a través del botón “Buscar actualizaciones” en iTunes. (más…)

La empresa Apple ha publicado 6 (seis) boletines de seguridad informando múltiples vulnerabilidades en diferentes productos y que permitirían desde la divulgación de información hasta la ejecución de código en un equipo afectado.

Impacto
El impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO (más…)

Vulnerabilidad en OS X Lion permite el cambio no autorizado de contraseñas
Fecha de Publicación: 2011-09-20 10:14:00
Sistemas Afectados
Sistemas operativos OS X 10.7 (Lion).
Descripción
La vulnerabilidad, explotable por usuarios autenticados, se encuentra en los Servicios de Directorio. (más…)

Una de las posibilidades que ofrecen los navegadores es la de que el usuario realice una verificación manual del certificado cuando se encuntra alguna anomalía en una conexión Http-s. Así, si el certificado ha sido emitido por una entidad que no es de confianza, si el certificado está revocado, si el certificado está emitido para un nombre de dominio distinto, ha caducado o ha sido emitio por un certificado sin capacidad para la emisión de certificados, el navegador muestra una alerta de seguridad.

En el caso de Apple Safari para iOS esto no es distinto, así, si se solicita la página https://www.navy.mil obtendremos una alerta de seguridad, al no haber sido emitido este certificado para este nombre de dominio en concreto. (más…)

Sistemas Afectados
• Mac OS X v10.6.8 y Mac OS X Server v10.6.8
• Mac OS X Lion v10.7.1 y Mac OS X Lion Server v10.7.1
Descripción
Este aviso soluciona el problema de los certificados fraudulentos emitidos por autoridades de certificación operados por Diginotar
Solución
Para instalarla se puede seleccionar la opción “Actualización de software” en el menú Apple o descargarla directamente desde su página oficial.
Detalle
Este problema se soluciona eliminando DigiNotar de la lista de certificados raíz de confianza, de la lista de las autoridades de certificación con Validación Extendida (EV), y mediante la configuración por defecto la configuración de confianza del sistema para que los certificados DigiNotar, incluyendo los emitidos por otras autoridades, no sean de confianza.
Impacto
Si un usuario no actualiza su sistema, podría ser víctima del robo de credenciales u otra información sensible.
Referencias
• APPLE-SA-2011-09-09-1 Security Update 2011-005

Últimamente hemos visto como las compañías de tecnología han dejado de atacar a los hackers de sus propias plataformas para contratarlos y que estos ayuden a mejorar sus productos. Tal ha sido el caso de GeoHot, quien tuvo rencillas con Sony. Facebook al ver el potencial de este muchacho, no tardo en contactarlo para engrosar sus filas y así adquirir una mente con una gran habilidad para la seguridad informática.Más recientemente vimos como Steve Kondik, uno de los creadores de CyanogenMod fue contratado por Samsung para aplicar sus conocimientos sobre Android y así mejorar la interfaz de productos Galaxy.

Por lo que ya no nos extraña que los de Cupertino se hayan hecho de @Comex, uno de los más famosos hackers de iOS, creador de JailbreakMe, Nicholas Allegra, estudiante de 19 años en la Universidad de Brown. (más…)

Estamos acostumbrados a ver a Apple denunciando a otras compañías por temas de patentes, pero en esta ocasión la demandada es la compañía de Cupertino y el motivo es la violación de privacidad en el iPhone 4.

Para entender mejor el origen de esta denuncia hay que recordar el caso de Kim Hyung-suk, un surcoreano que ganó una demanda en la que acusaba a Apple de violar su privacidad al recolectar información sobre su gelocalización en el iPhone 4. (más…)

Se han publicado múltiples vulnerabilidades Apple QuickTime que permitiría comprometer un equipo afectado.

Impacto
El impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO (más…)